Dois-je déployer Aperçu sur le site de production?

J'ai récemment ajouté un Aperçu Débogueur paquet à mon projet. Cet ajout d'une référence à l'Aperçu de la dll, et la modification de certains Web.Config.

J'aime mon projet autant les mêmes que possible sur mon développement et l'environnement de production.

Est-il donc enregistrer/sage pour déployer Aperçu de mon site de production, ou devrais-je créer un autre projet (ou de la création d'une branche de mon fichier csproj) afin de la garder seulement localement?

Trucs que je suis inquiet, mentionnons les suivants:

  • Performance
  • Les violations de la sécurité
  • Une mise à jour de ce, nous avons publié une nouvelle updaet un peu tout à l'heure, ce qui vous permet de verrouiller les choses vers le bas à l'aide de même plus logique personnalisée - blog.getglimpse.com/2013/12/09/...
InformationsquelleAutor GvS | 2011-04-21
  1. 105

    Je crois que si le cookie pour l'Aperçu n'est pas trouvé, il n'a pas de charger ou de faire quoi que ce soit, la performance devrait être négligeable. Sage de la sécurité, vous pouvez simplement mettre un utilisateur de restriction dans le web.config pour l'emplacement de l'aperçu chemin.

    <location path="Glimpse.axd" >
    <system.web>
        <authorization>
            <allow users="Administrator" />
            <deny users="*" />
        </authorization>
    </system.web>
</location>

    Ou si il y a un rôle d'administrateur, vous pourriez le faire par rôle à la place du nom d'utilisateur.

    Vous pouvez également le désactiver si vous ne voulez pas compter sur la présence du cookie. Ce facilement atteint par le biais de web.config transforme, je n'ai pas testé le balisage encore, mais quelque chose comme cela devrait fonctionner.

    <glimpse enabled="false" xdt:Transform="SetAttributes">
</glimpse>

    Mise à JOUR: Aperçu a vu quelques changements récemment et (depuis la 1.0, je crois?) la transformation serait maintenant se présenter comme suit. Tentative de définition de la enabled attribut donnera une erreur de configuration dans la version la plus récente de l'Aperçu.

    <glimpse defaultRuntimePolicy="Off" xdt:Transform="SetAttributes">
</glimpse>

    Que la documentation met...

    Aperçu ne sera jamais permis d'en faire plus avec une réponse Http est que
    spécifié dans DefaultRuntimePolicy.

    Il convient de noter que le seul but de cette transformation sert, c'est que si vous voulez supprimer la possibilité d'utiliser Aperçu dans le cadre de votre processus de déploiement. Si vous voulez conditionnellement le désactiver sur la base d'autres critères tels que la distance des demandes d'autorisation ou de vérifier, c'est mieux fait par les politiques. Aperçu fonctionne sur une série de politiques aujourd'hui (tous basés sur le IRuntimePolicy), conçu pour aider à déterminer lors de l'aperçu devraient être autorisés à le faire. En fait une fois le coup d'œil est installé, si vous accédez à l'aperçu.axd, au bas de cette page, vous verrez une liste de stratégies qui sont actuellement activés. Comme le LocalPolicy qui l'empêche d'être consulté par les demandes à distance (configurably, toute politique peut être ignoré par le web.config pour permettre les demandes à distance) http://getglimpse.com/Help/Configuration. Ils ont aussi un exemple de classe appelé GlimpseSecurityPolicy qui est inclus lorsque vous installez Aperçu à l'aide de Nuget, que vous pouvez utiliser pour ajouter une autorisation de restrictions.

    public class GlimpseSecurityPolicy:IRuntimePolicy
{
    public RuntimePolicy Execute(IRuntimePolicyContext policyContext)
    {
        //You can perform a check like the one below to control Glimpse's permissions within your application.
        //More information about RuntimePolicies can be found at http://getglimpse.com/Help/Custom-Runtime-Policy
        var httpContext = policyContext.GetHttpContext();
        if (httpContext.User != null && !httpContext.User.IsInRole("Glimpse")) //Once glimpse is turned on, you have to be a member of this Role to see the Glimpse Panel.
        {
            return RuntimePolicy.Off;
        }

        return RuntimePolicy.On;
    }

    public RuntimeEvent ExecuteOn
    {
        get { return RuntimeEvent.EndRequest; }
    }
}

    Maintenant, les stratégies sont utilisées pour déterminer lors de l'aperçu doit s'exécuter, mais ils ne sont pas empêcher l'utilisateur d'être en mesure d'afficher l'aperçu.axd page. Le cookie peut toujours être activé à partir de ce que de ce que je peux dire, mais le cookie est vide de sens si entrevoir refuse de fonctionner malgré le cookie est présent. Cela étant dit, Il est toujours conseillé d'envelopper le coup d'œil.axd page dans une demande d'autorisation à l'aide de l'emplacement de la balise dans votre site web.config. À noter que c'est en plus de la GlimpseSecurityPolicy ci-dessus.

    <location path="glimpse.axd">
  <system.web>
    <authorization>
      <allow roles="Glimpse" />
      <deny users="*" />
    </authorization>
  </system.web>
</location>
    • Salut Yarx, pourriez-vous me dire où dans le web.config cette ligne va? <aperçu sur l'="false" xdt:Transform="SetAttributes"> </aperçu>
    • VS2010 a la possibilité de créer ce qu'il appelle "Transformer les Fichiers" pour votre site web.fichier de configuration. Et ces sont a couru sur votre site web.fichier de configuration au moment de la construction afin de la modifier dans la préparation de votre cible de déploiement basé sur de la de la construire de configuration utilisé. Par exemple, si vous êtes en mode release, il applique des transformations à partir du web.la libération.fichier de configuration. Pour obtenir ces fichiers, faites simplement un clic droit sur le web.config et choisissez Add Config Transforms Il existe de nombreux tutoriels qui expliquent comment ces fichiers de travail, et la syntaxe à utiliser. msdn.microsoft.com/en-us/library/dd465326.aspx
    • Notez que Glimpse/Config a été remplacé par Glimpse.axd.
    • Je ne sais pas si l'attribut a été (Sur) mais c'est (activé) dans de 0,86, la transformation serait: <aperçu enabled="false" xdt:Transform="SetAttributes">
    • Une clarification est en place ici. Le fichier de configuration de transformation n'est pas fait lors de la compilation, mais lors de la publication. (ce qui rend la fonctionnalité inutile dans les scénarios à construire des machines)
    • Vous êtes à droite, par défaut il est appliqué au cours de publier, de ne pas procéder à la compilation. Je suis en supposant que il doit y avoir des options pour les appliquer à la construction des machines. Une rapide recherche sur Google m'a donné ce résultat. Bien que l'article laisse entendre que les étapes sont destinés à TSF, ils semblent suffisamment générique pour s'adapter à d'autres environnements qui utilisent MSBuild. Je n'ai pas eu à configurer une machine de compilation donc je ne peux pas parler d'expérience sur ce front.
    • Est-il un autre moyen pour empêcher l'accès à axd. Nous ne sommes pas à l'aide .net autorisation. ty
    • Oui, consultez le blog suivant - blog.getglimpse.com/2013/12/09/...
    • C'est la même chose je le mentionne dans le milieu de la post concernant IRuntimePolicy.

    InformationsquelleAutor Nick Albrecht
  2. 9

    Yarx est à droite sur quasiment tous les fronts.

    À partir d'un point de vue de sécurité, vous pouvez verrouiller le chemin à l'aide de la méthode décrite. La seule chose c'est, il y a plus d'URL points finaux aperçu utilise, de sorte que la règle devrait être quelque chose comme *Glimpse/* (où * indique que quelque chose peut venir devant elle et tout ce qui peut venir après elle). Une fois cela en place, aperçu devrait être assez verrouillé.

    Aussi, si dans la config, vous avez utilisé de la transformation que Yarx fourni, aperçu ne sera jamais de la charge, même si vous avez le cookie activée.

    • *Glimpse/* n'est pas autorisé dans l'attribut path <location> path attribute must be a relative virtual path. It cannot contain any of '?' ':' '\' '*' '"' '<' '>' or '|'. alors où dois-je le mettre? Merci
    InformationsquelleAutor anthonyv
  3. 1

    De départ avec Aperçu 1.7 il est plus générique, de façon à sécuriser ~/glimpse.axd avec l'avantage supplémentaire que vous utilisez la même politique pour tous. Vous devez simplement vous assurer que votre stratégie personnalisée est demandé que des ressources trop:

     public RuntimeEvent ExecuteOn
 {
     //The bit flag that signals to Glimpse that it should run on either event
     get { return RuntimeEvent.Endrequest | RuntimeEvent.ExecuteResource; }
 }

    Avis de la | RuntimeEvent.ExecuteResource. Voir en bas de: Sécurisation De L'Aperçu.axd la voie à suivre.

    InformationsquelleAutor Dejan